主な課題は、多くの場合、API が管理されておらず、誤設定、不十分な認証制御、意図せずインターネットに公開されるといった状態で本番環境に導入されていることです。こうした要因から、API は攻撃者の主な標的となっています。
Akamai を選ぶ理由
API 開発を含む基幹業務イニシアチブでは、セキュリティよりもスピードと商業的な目標を優先することがよくあります。開発者は迅速な対応を迫られ、セキュリティチームはそのプロジェクトを十分に可視化できません。
見落とされがちなシャドー API、ゾンビ API、休眠 API を含む API の完全なインベントリが非常に重要なのは、それによって組織は API アタックサーフェス全体を評価し、各 API のリスクを特定できるからです。
重要なステップには、既存の IT ワークフロー管理システムとの統合、自動修復への段階的な移行、悪性のふるまいの監視、既存の SIEM システムとの統合による包括的なデータ使用の実現などがあります。
API セキュリティにおける「シフトレフト」とは、テストとセキュリティタスクを開発プロセスの早い段階へ移動することを意味します。これにより、開発者が API のライフサイクル全体を通じて脆弱性を監視するようになるため、より迅速かつ効果的な修復が可能になります。
継続的な API テストが必要である理由は、それによって本番環境への導入前後で脆弱性を特定し、緩和できるようになるからです。本番環境でのリアルタイム監視およびテストは、ソフトウェアの安定性とパフォーマンスを維持しながら、ユーザー体験を向上させるためにも役立ちます。
自動化は API セキュリティにおいて重要な役割を果たします。修復アクションを既存の IT ワークフロー管理システムに統合し、段階的に自動修復に移行し、悪性のふるまいを継続的に監視することを支援します。これにより、脆弱性に対処するために必要な時間と労力が削減され、差し迫ったリスクが緩和されます。